À propos de 1-to-1 NAT
Lorsque vous activez 1-to-1 NAT, votre Firebox crée un mappage d'une ou plusieurs adresses IP privées vers une ou plusieurs adresses IP publiques. Cela vous permet de faire fonctionner vos ressources réseau internes comme un serveur de messagerie accessible sur Internet.
Vous pouvez appliquer 1-to-1 NAT à une adresse IP, une plage d'adresses ou un sous-réseau. Une règle 1-to-1 NAT est toujours prioritaire sur une règle de traduction d'adresses réseau dynamique.
Pour vous connecter à un ordinateur situé sur une autre interface qui fait appel à une règle 1-to-1 NAT, vous devez utiliser l'adresse IP (base NAT) publique de cet ordinateur. Si cela pose un problème, vous pouvez désactiver la règle 1-to-1 NAT pour utiliser la traduction d'adresses réseau statique.
Sur la plupart des réseaux, nous vous recommandons de configurer SNAT plutôt que 1-to-1 NAT. La combinaison de SNAT et DNAT est plus flexible que 1-to-1 NAT et peut prendre en charge toutes les fonctionnalités de 1-to-1 NAT. Pour de plus amples informations concernant SNAT, consultez À propos de SNAT.
Si vous configurez un 1-to-1 NAT, tenez compte du fait que les adresses IP utilisées pour un 1-to-1 NAT ne peuvent pas être utilisées à d'autres fins. À titre d'exemple, il est également impossible d'utiliser des adresses IP 1-to-1 NAT pour le trafic entrant ou pour les fonctionnalités du Firebox telles que les VPN, Access Portal ou l'Accès à l'Assistance.
Utilisations Courantes
Considérez le cas où vous dédiez entièrement des adresses IP publiques à certains périphériques internes, mais où ces adresses IP publiques ne seront pas disponibles pour les autres fonctionnalités du Firebox. Les administrateurs utilisent typiquement 1-to-1 NAT pour un serveur interne ayant une adresse IP privée qui doit être rendue publique. Vous pouvez utiliser 1-to-1 NAT pour mapper des adresses IP publiques aux périphériques internes. Il est inutile de modifier les adresses IP de vos périphériques internes.
Par exemple, vous pouvez configurer 1-to-1 NAT pour un serveur de messagerie sur votre réseau interne. Les utilisateurs du réseau interne se connectent au serveur de messagerie avec l'adresse IP privée. Les utilisateurs extérieurs à votre réseau se connectent à votre serveur de messagerie avec l'adresse IP publique que vous spécifiez dans les paramètres 1-to-1 NAT.
Vous pouvez également utiliser 1-to-1 NAT pour un groupe de serveurs internes. Par exemple, si vous avez cinq serveurs de messagerie interne, vous pouvez utiliser 1-to-1 NAT pour faire correspondre des adresses IP publiques aux serveurs internes.
Lorsque vous configurez 1-to1 NAT, il est inutile de modifier l'adresse IP de vos serveurs internes.
N'activez pas 1-to-1 NAT si vous possédez une seule ou un petit nombre d'adresses IP publiques. Le 1-to-1 NAT ne fonctionne pas si vous possédez une seule adresse IP publique. Si vous possédez un faible nombre d'adresses IP publiques, nous vous recommandons d'utiliser SNAT de manière à mieux utiliser vos adresses IP publiques.
Exemple — Serveur Unique
Cet exemple explique la configuration de 1-to-1 NAT pour un serveur de messagerie interne. L'adresse IP publique que vous utilisez dans la configuration one-to-one NAT ne doit pas être identique à l'adresse IP existante d'une interface Ethernet.
Dans cet exemple :
- Votre Firebox a pour adresse IP d'interface externe : 203.0.113.100/24
- Un serveur de messagerie interne possède l'adresse IP privée 10.0.1.11
- Vous souhaitez associer ces adresses IP privées à une adresse IP publique
Vous pouvez ajouter une règle 1-to-1 NAT pour associer l'adresse IP privée de votre serveur de messagerie interne à une adresse IP publique correspondante. Pour ce faire, sélectionnez une adresse IP publique inutilisée sur le même sous-réseau que l'interface externe. Par exemple, l'adresse IP publique pourrait être 203.0.113.11. Créez un enregistrement DNS pour la résolution de l'adresse par le serveur de messagerie.
Ensuite, créez une règle 1-to-1 NAT pour le trafic passant par l'interface Externe qui mappe l'adresse IP privée (réelle) du serveur de messagerie à l'adresse IP publique correspondante.
Base réelle | Base NAT |
---|---|
10.0.1.11 |
203.0.113.11 |
La règle 1-to-1 NAT génère une relation statique et bidirectionnelle entre les adresses IP correspondantes. Sitôt la règle 1-to-1 NAT appliquée, le Firebox crée le routage bidirectionnel et la relation NAT entre la paire d'adresses. Le routage 1-to-1 NAT fonctionne également sur le trafic envoyé depuis les réseaux que protège votre Firebox.
Pour plus d'informations sur la configuration de cet exemple, consultez Configurer 1-to-1 NAT pour le Pare-feu.
Exemple — Groupe de Serveurs
Dans un groupe de serveurs identiques (par exemple, un groupe de serveurs de messagerie), il est plus simple de configurer 1-to-1 NAT que la traduction d'adresses réseau statique. Les adresses IP publiques que vous utilisez dans la configuration one-to-one NAT ne doivent pas être identiques à l'adresse IP existante d'une interface Ethernet.
Dans cet exemple :
- Votre Firebox a pour adresse IP d'interface externe : 203.0.113.100/24
- Cinq serveurs de messagerie internes ont des adresses IP privées dans la plage 10.0.1.11 à 10.0.1.15
- Vous voulez associer ces adresses IP privées à cinq adresses IP publiques
Vous pouvez ajouter une règle 1-to-1 NAT pour associer chacun des serveurs de messagerie à une adresse IP publique. Pour ce faire, choisissez cinq adresses IP publiques inutilisées sur le même sous-réseau que l'interface externe. Par exemple, ces adresses IP publiques pourraient se trouver dans la plage 203.0.113.11 à 203.0.113.15. Créez des enregistrements DNS pour la résolution des noms des serveurs de messagerie.
Ensuite, créez une règle 1-to-1 NAT pour le trafic passant par l'interface Externe qui mappe la plage IP des cinq adresses IP (réelles) privées des serveurs de messagerie aux cinq adresses IP publiques correspondantes.
Base réelle | Base NAT | Plage |
---|---|---|
10.0.1.11 10.0.1.12 10.0.1.13 10.0.1.14 10.0.1.15 |
203.0.113.11 203.0.113.12 203.0.113.13 203.0.113.14 203.0.113.15 |
5 |
La règle 1-to-1 NAT génère une relation statique, bidirectionnelle entre les paires d'adresses IP correspondantes. Sitôt la règle 1-to-1 NAT appliquée, le Firebox crée le routage bidirectionnel et la relation NAT entre chaque paire d'adresses dans les deux plages d'adresses. Le routage 1-to-1 NAT fonctionne également sur le trafic envoyé depuis les réseaux que protège votre Firebox.
Pour un autre exemple, consultez Exemple 1-to-1 NAT.
À propos de 1-to-1 NAT et des tunnels VPN
En effet, lorsque vous créez un tunnel VPN, les réseaux à chaque extrémité du tunnel doivent avoir différentes plages d'adresses réseau. Vous pouvez utiliser la règle 1-to-1 NAT lors de la création d'un tunnel VPN entre deux réseaux qui utilisent une même adresse réseau privée. Si la plage d'adresses réseau du réseau distant est la même que celle du réseau local, vous pouvez configurer le VPN pour qu'il utilise le routage 1-to-1 NAT.
- Pour une interface virtuelle BOVPN, vous configurez le routage 1-to-1 NAT de la même façon que pour toute autre interface. Vous pouvez sélectionnez le nom de l'interface virtuelle BOVPN en tant qu'interface pour le routage 1-to-1 NAT.
- Pour un tunnel Branch Office VPN qui n'est pas une interface virtuelle BOVPN, vous devez configurer le routage 1-to-1 NAT dans les paramètres de passerelle et de tunnel Branch Office VPN. Pour plus d'informations, consultez Configurer 1-to-1 NAT via un Tunnel Branch Office VPN.
Voir Également
Tutoriel Vidéo : Prise en Main de NAT.
Configurer 1-to-1 NAT pour le Pare-feu